GDPR / AVG en online marketing

Over de GDPR

De General Data Protection Regulation, in Nederland de Algemene Verordening Gegevensbescherming (AVG), is de grootste verandering in 20 jaar qua privacy wetgeving. De wet is al actief, maar zal vanaf 25 mei 2018 gehandhaafd worden. De wetgeving raakt alle toepassingen van persoonlijke data in organisaties. De consequenties, ook voor online marketing, zijn daarom niet te onderschatten.

De wetgeving is complex en de praktische invulling zal vooral blijken uit jurisprudentie vanaf het moment dat de handhaving intreedt. We geven hier dan ook een overzicht van hetgeen dat al wél bekend is, hoe dit ons vakgebied online marketing raakt en de stappen die je als organisatie nu al kunt zetten.

Waarom en voor wie?

In het verleden zijn organisaties te onzorgvuldig omgegaan met persoonlijke data, wat het vertrouwen van de consument geschaad heeft. Onder “persoonsgegevens” worden zowel gegevens verstaan die direct herleidbaar zijn naar een individu (zoals e-mail- of IP adressen) maar ook pseudo anonieme data (zoals klantnummers).

In essentie is de GDPR bedoeld om de rechten en vrijheden van Europese burgers te beschermen. Ongeacht waar in de wereld de persoonsgegevens verwerkt worden. De GDPR heeft daarmee wereldwijde impact, het raakt niet alleen Europese bedrijven. Als je bedrijf in de EU bent moet je eraan voldoen. Als je een bedrijf buiten de EU bent en je hebt Europese klanten, dan moet je er ook aan voldoen.

Impact op jouw organisatie

Je moet te allen tijde inzicht kunnen geven in de persoonlijke data die je van individuen bezit (dataportabiliteit). Een bedrijf moet toezien op de juistheid van de beschikbare data en die mogen tijdens de verwerking niet worden gewijzigd. Het is dus ook nodig om te allen tijde vast te leggen wie toegang heeft tot data en wanneer deze mogelijk zijn gewijzigd.

Je moet deze persoonlijke data op individueel niveau kunnen verwijderen (recht om vergeten te worden). Een organisatie die een verzoek tot vernietiging ontvangt, moet alle data in leesbare vorm overdragen en vervol­gens volledig verwijderen.

Om persoonlijke data te gebruiken moet je expliciete en ondubbelzinnige toestemming hebben van het individu. En de mogelijkheid geven om de toestemming weer in te trekken! Dat kan bijvoorbeeld door middel van een omgeving op je website waar individuen in kunnen zien welke gegevens je van ze bewaart en waar ze ook wijzigingen in kunnen maken of doorgeven.

  • Je mag alleen persoonlijke data opslaan die je nodig hebt. Dataverzameling is niet toegestaan als je niet kunt toelichten waarom je het nodig hebt.
  • Je mag persoonlijke data niet oneindig bewaren. Dit mag alleen zo lang als dat logischerwijs noodzakelijk is. Daarna moet het verwijderd worden.
  • Je moet kunnen bewijzen dat je persoonlijke data en datastromen adequaat beveiligd hebt. Sterker nog, dit kan een eventuele boete verlagen.

Als bedrijf moet je te allen tijde kunnen bewijzen waar en wanneer iemand toestemming heeft gegeven voor de communicatie die hij of zij ontvangt. Is je vastlegging hiervan uit het verleden niet volgens de GDPR dan kun je deze vastlegging in de prullenbak gooien en opnieuw toestemming vragen en correct vastleggen.

Voldoe je niet aan bovenstaande regels en volgt er controle, dan kunnen er forse boetes voor staan. Dit kan oplopen tot 20 miljoen of maximaal 4% van de jaaromzet per overtreding. Er is aangekondigd dat er ook daadwerkelijk gehandhaafd zal worden en dat dit in niets zal lijken op de cookiewet van een aantal jaar geleden. Dit verkondigde o.a. Aleid Wolfsen, voorzitter van de autoriteit persoonsgegevens in november. In een interview met het Financieel Dagblad waarschuwde hij al dat het ‘heel vervelend’ kan worden voor bedrijven.

Impact op (online) marketing

Om relevanter te zijn werken we steeds meer met (persoonlijke) data binnen online marketing. De wetgeving raakt dus veel van deze toepassingen. Denk aan:

  • Advertentie targeting: remarketing (of RLSA) lijsten, custom audiences, lookalike doelgroepen. Targeten op interesses of demografie mag niet meer zonder ondubbelzinnige toestemming van een individu – of deze nu al klant is of niet. Dit laatste is data die de netwerken (Google, Facebook, etc.) zelf beheren. Zij zullen naar verwachting ook met oplossingen hiervoor komen. Dit is nog niet volledig duidelijk op moment van schrijven.
  • Tracking: Analytics, optimalisatie tools als Hotjar, maar ook customer data platforms als BlueConic. Zonder toestemming van gebruikers moeten bijvoorbeeld ook IP-adressen in Analytics geanonimiseerd worden.
  • CRM’s en andere databronnen binnen de organisatie.
  • Partnerships: als partijen waar je mee samenwerkt gebruikmaken van data die eigendom is van jouw organisatie, moet dat vastgelegd worden. Alle  advertentienetwerken zullen ook verwerkingsovereenkomsten hiervoor gaan uitrollen.
  • E-mail: als je een e-mail verzendt, moet dat ófwel nodig zijn in het kader van een lopende overeenkomst, ófwel met toestemming van de ontvanger. De vraag of er toestemming is moet je onder de GDPR kunnen beantwoorden op het moment van verzenden.
    • Het is niet nodig om te bewijzen dat je dat in bijvoorbeeld 2015 ook mocht. Oude opt-ins mag je wel gebruiken, zo lang je deze kunt bewijzen en ze ondubbelzinnig zijn gegeven door de ontvanger. Nieuw is dat je vanaf 25 mei 2018 niet meer via andere wegen commercieel mag gaan mailen via andere wegen zoals na een bestelling, akkoord met privacy statement, etc). De toestemming moet echt gegeven zijn.
    • DDMA zegt in haar stuk over Mythes over de AVG het volgende over opt-ins die je al hebt: “Mythe: De uitzondering op de opt-in regel voor e-mail voor bestaande klanten vervalt per 25 mei. Vooraf aangevinkte hokjes mogen namelijk niet meer.
      Dit klopt niet, de klantrelatie wordt niet in de AVG geregeld maar in de Telecommunicatiewet. De Telecommunicatiewet is een specifieke wet, waarin de huidige e-Privacy Richtlijn in Nederland is ingevoerd. Deze wet wijzigt niet met de komst van de AVG. Specifieke wetten gaan voor op algemene wetten en de AVG is een algemene wet. Als de AVG en de e-Privacy Richtlijn elkaar tegenspreken gaan daarom de uitzonderingen uit de Telecommunicatiewet vóór.
      De klantrelatie wordt ook wel de soft opt-in genoemd, het is een uitzondering op de regel dat je toestemming nodig hebt van personen om ze een elektronisch bericht te sturen met commerciële, ideële of charitatieve doeleinden. Dit geldt niet alleen voor e-mail, maar ook voor SMS of Whatsapp berichten. Als je duidelijk informeert over wat je gaat sturen en je verder aan de regels omtrent de uitzondering houdt (artikel 11.7 lid 3 Tw) mag je ook na de komst van de AVG nog steeds zonder toestemming je klanten berichten sturen met commerciële, ideële of charitatieve doeleinden.”
    • Toestemmingen moeten straks zodanig geformuleerd en geadministreerd zijn dat ze conform GDPR (dus expliciet, default-uit, eenduidig, begrijpelijk, bewijsbaar, etc).
    • De wetgeving geldt voor alle informatie die terug te herleiden is naar een persoon. Dus het geldt voor alle e-mailadressen. Er wordt dus geen onderscheid gemaakt tussen privé en werk emailadressen. De wetgeving raakt dus ook B2B!
  • Upsellen wordt lastiger. Je zult voor elk aanbod toestemming nodig hebben. Je mag dus niet iemand die toestemming heeft gegeven zijn gegevens te bewaren voor een jaar bij kopen van product X, ook product Y aanbieden dat er goed bij past. Voor product Y aanbieden heb je opnieuw toestemming nodig.

De impact gaat echter verder dan wijzigingen in kanalen en tools. Je zult als bedrijf meer moeite moeten doen en echt kwaliteit moeten bieden om een bezoeker te overtuigen dat je zijn of haar data waard bent. Relaties opbouwen en onderhouden met potentiële en bestaande klanten komt voorop te staan. En daarmee ook hoe en wat je communiceert. Vage boodschappen, slechte producten en diensten krijgen met de wetgeving vermoedelijk met de tijd vanzelf minder aandacht.

GDPR en veelgebruikte online marketing tools

Hoe gaan de diverse online marketing tools om met de GDPR wetgeving? Hieronder een overzicht dat doorlopend bijgewerkt zal worden n.a.v. er meer bekend wordt:

  • Google Analytics:  
    • Google heeft in April nieuwe opties aangekondigd:
    • Today we introduced granular data retention controls that allow you to manage how long your user and event data is held on our servers. Starting May 25, 2018, user and event data will be retained according to these settings; Google Analytics will automatically delete user and event data that is older than the retention period you select. Note that these settings will not affect reports based on aggregated data.
      Action: Please review these data retention settings and modify as needed.
      Before May 25, we will also introduce a new user deletion tool that allows you to manage the deletion of all data associated with an individual user (e.g. site visitor) from your Google Analytics and/or Analytics 360 properties. This new automated tool will work based on any of the common identifiers sent to Analytics Client ID (i.e. standard Google Analytics first party cookie), User ID (if enabled), or App Instance ID (if using Google Analytics for Firebase). Details will be available on our Developers site shortly.
      As always, we remain committed to providing ways to safeguard your data. Google Analytics and Analytics 360 will continue to offer a number of other features and policies around data collection, use, and retention to assist you in safeguarding your data. For example, features for customizable cookie settings, privacy controls, data sharing settings, data deletion on account termination, and IP anonymization may prove useful as you evaluate the impact of the GDPR for your company’s unique situation and Analytics implementation.”
    • Het algemene statement van Google omtrent compliance vind je hier. De autoriteit persoonsgegevens heeft een handleiding beschikbaar gesteld in oktober 2017 voor het instellen van Google Analytics. Deze vind je hier. Het kan geen kwaad nog even te wachten met doorvoeren tot Google zelf met aanpassingen komt.
  • Google AdWords: hier zijn al nieuwe voorwaarden gelanceerd, die alle gebruikers moeten accepteren. Voor remarketing geldt dat dit straks niet meer mag zonder ondubbelzinnige toestemming. Bedrijven zullen creatief moeten worden hierin, want al eerder onderzocht het IAB dat 36% van de mensen remarketing als reden geven voor gebruik van een adblocker. Je reden moet goed zijn om toestemming te krijgen.
  • Hotjar: heeft een statement omtrent de GDPR uitgebracht.
  • Optimizely: idem.
  • Facebook: heeft nog niets concreet bekend gemaakt over hoe ze met de wetgeving om zullen gaan.
  • Mailchimp: Er is een GDPR guide uitgebracht voor Mailchimp klanten.
  • Blueconic: Zal volledig compliant zijn aan de GDPR. Per 4 april zijn er nieuwe functies gelanceerd om consent bij te houden en compliant te zijn. Wij kunnen hierbij helpen. 
  • CCVshop: Op https://www.ccvshop.nl/avg staat alle benodigde informatie.

Toestemming verkrijgen

Je zult van iedere bezoeker moeten vragen waar je zijn / haar gegevens voor mag gebruiken. Dat wil zeggen: voor elk onderdeel zul je toestemming moeten vragen. Tenzij je aan kunt tonen dat je dat op een eerder moment al hebt verkregen. Dat is met e-mail te doen, via andere wegen is het misschien lastiger – vooral omdat het vaak via cookies gaat. Dat betekent bijvoorbeeld het stellen van de volgende vragen:

  • Mogen we anonieme analytics verzamelen?
  • Mogen we onze content voor je personaliseren?
  • Mogen we anonieme testen uitvoeren?
  • Mogen we je e-mail sturen met passende aanbiedingen?

Het beste is vroegtijdig te beginnen met toestemming vragen. Oftewel: stel het niet uit tot mei 2018. De software leveranciers zullen op tijd alles klaar hebben en geen ‘illegale’ opties aanbieden.

Hoe vraag je toestemming?

Maar wat is nu de beste manier om toestemming te vragen? We zien steeds meer voorbeelden die volledig transparant zijn en direct aangeven wat je voor de toestemming terugkrijgt. In prijsbewuste markten kun je bijvoorbeeld aangeven: dit doen we met je gegevens, maar daar krijg je vaker betere aanbiedingen voor terug. Dus: wat gaat jouw organisatie klanten bieden in ruil voor hun data? Het juiste aanbod kan hierin een groot verschil maken. Vaak is simpel het beste – geef je toestemming dan krijg je betere kortingen, acties en andere aanbiedingen. Uiteraard moet er getoetst worden of dit door de beugel kan en of internetgebruikers dit accepteren.

We verwachten dat er ook veel creatieve vormen zullen gaan volgen. Waar mogelijk zullen we deze toevoegen aan dit artikel.

Hoe maak je je organisatie GDPR-proof?

Databronnen in kaart brengen

De eerste stap is onderzoeken en begrijpen welke data jouw organisatie bezit, waar het wordt opgeslagen, waarom je het hebt en hoe lang je van plan bent het te houden. Dit kan in allerlei vormen zijn opgeslagen. Van digitale systemen tot spreadsheets, sharepoint sites, papier, (oude) netwerkschijven, usb-sticks, etc.

Data Protection Officer aanstellen

Als een organisatie aan bepaalde voorwaarden voldoet moeten ze een DPO aanstellen. (Data Protection Officer). Een bedrijf komt hiervoor in aanmerking als:

  • Het bedrijf persoonlijke data op een grote schaal verwerkt;
  • Het een Openbare Autoriteit is;
  • Het bedrijf gevoelige data verwerkt.

De DPO ziet toe op naleving van de GDPR en is contactpersoon omtrent dataverzoeken. Dit kan een extern iemand zijn. De DPO is beschermd door de wet en mag geen conflicterende belangen hebben t.a.v. een bedrijf.

Data Privacy Impact Assessment uitvoeren

Om de risico’s en te nemen maatregelen voor jouw organisatie in kaart te brengen, is een Data Privacy Impact Assessment (DPIA) zeer waardevol. Dit is een instrument waarmee je privacyrisico’s omtrent gegevensverwerking definieert. Op basis daarvan tref je maatregelen om die risico’s te verkleinen. Vanaf 25 mei kan het zelfs verplicht worden een DPIA uit te voeren, dat geldt voor toepassingen met een verhoogd privacyrisico.

Take-aways (TL;DR)

  • De wetgeving moet vooral een verandering in mindset teweeg brengen. Voor ‘spammers’ is het game over, je (marketing)communicatie moet de moeite waard zijn. Voor individuen betekent het een hoop macht, die nu vaak ver te zoeken is.
  • Als je met je strategie volledig op acquisitie marketing leunt of op onrechtmatige dataverzameling/-verwerking, heb je een grote uitdaging.
  • Relaties met je klanten onderhouden en het vertrouwen van de consument (terug)winnen wordt heel erg belangrijk. Wie dit goed doet, loopt voorop.
  • Creativiteit en oprechtheid krijgen (weer) een grote rol in marketing. Fake it till you make it wordt erg lastig.
  • Toestemming van klanten biedt ook transparantie voor bedrijven: dit is echt iemand en die stelt echte informatie (eIDAS verordening) ter beschikbaar waar je iets mee mag of kan doen. Fraude kan hiermee ook een stuk kleiner worden en je hoeft niet allerlei controle in bijvoorbeeld je webshop in te bouwen.